Adoben tietoturvatiedote

Adobe Commercen tietoturvapäivitys | APSB25-26

Tiedotteen tunnus	Julkaisupäivä	Prioriteetti
APSB25-26	8. huhtikuuta 2025	2

Yhteenveto

Adobe on julkaissut tietoturvapäivityksen Adobe Commercea ja Magento Open Sourcea varten. Tämä päivitys ratkaisee tärkeitä ja kohtalaisia haavoittuvuuksia.  Jos haavoittuvuutta onnistutaan hyödyntämään, se voi johtaa tietoturvaominaisuuden ohitukseen, käyttöoikeuksien laajennukseen ja sovelluksen palvelunestoon.

Adobe ei ole tietoinen, että mitään näissä päivityksissä käsiteltyjä haavoittuvuuksia olisi hyödynnetty käytännössä.

Versiot

Tuote	Versio	Ympäristö
Adobe Commerce	2.4.8-beta2 2.4.7-p4 ja aiemmat versiot 2.4.6-p9 ja aiemmat versiot 2.4.5-p11 ja aiemmat versiot 2.4.4-p12 ja aiemmat versiot	Kaikki
Adobe Commerce B2B	1.5.1 ja aiemmat versiot 1.4.2-p4 ja aiemmat versiot 1.3.5-p9 ja aiemmat versiot 1.3.4-p11 ja aiemmat versiot 1.3.3-p12 ja aiemmat versiot	Kaikki
Magento Open Source	2.4.8-beta2 2.4.7-p4 ja aiemmat versiot 2.4.6-p9 ja aiemmat versiot 2.4.5-p11 ja aiemmat versiot 2.4.4-p12 ja aiemmat versiot	Kaikki

Tuote

Versio

Ympäristö

Adobe Commerce

2.4.8-beta2

2.4.7-p4 ja aiemmat versiot

2.4.6-p9 ja aiemmat versiot

2.4.5-p11 ja aiemmat versiot

2.4.4-p12 ja aiemmat versiot

Kaikki

Adobe Commerce B2B

1.5.1 ja aiemmat versiot

1.4.2-p4 ja aiemmat versiot

1.3.5-p9 ja aiemmat versiot

1.3.4-p11 ja aiemmat versiot

1.3.3-p12 ja aiemmat versiot

Kaikki

Magento Open Source

2.4.8-beta2

2.4.7-p4 ja aiemmat versiot

2.4.6-p9 ja aiemmat versiot

2.4.5-p11 ja aiemmat versiot

2.4.4-p12 ja aiemmat versiot

Kaikki

Ratkaisu

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Tuote	Päivitetty versio	Ympäristö	Prioriteettiluokitus	Asennusohjeet
Adobe Commerce	2.4.8 2.4.8-beta2-versiolle 2.4.7-p5 2.4.7-p4:lle ja aikaisemmille versioille 2.4.6-p10 2.4.6-p9:lle ja aikaisemmille versioille 2.4.5-p12 2.4.5-p11:lle ja aikaisemmille versioille 2.4.4-p13 2.4.4-p12:lle ja aikaisemmille versioille	Kaikki	2	Version 2.4.x julkaisutiedot
Adobe Commerce B2B	1.5.2 1.5.1:lle 1.4.2-p5 1.4.2-p4:lle ja aikaisemmille versioille 1.3.5-p10 1.3.5-p9:lle ja aikaisemmille versioille 1.3.4-p12 1.3.4-p11:lle ja aikaisemmille versioille 1.3.3-p13 1.3.3-p12:lle ja aikaisemmille versioille	Kaikki	2
Magento Open Source	2.4.8 2.4.8-beta2-versiolle 2.4.7-p5 2.4.7-p4:lle ja aikaisemmille versioille 2.4.6-p10 2.4.6-p9:lle ja aikaisemmille versioille 2.4.5-p12 2.4.5-p11:lle ja aikaisemmille versioille 2.4.4-p13 2.4.4-p12:lle ja aikaisemmille versioille	Kaikki	2

Tuote

Päivitetty versio

Ympäristö

Prioriteettiluokitus

Asennusohjeet

Adobe Commerce

2.4.8 2.4.8-beta2-versiolle

2.4.7-p5 2.4.7-p4:lle ja aikaisemmille versioille

2.4.6-p10 2.4.6-p9:lle ja aikaisemmille versioille

2.4.5-p12 2.4.5-p11:lle ja aikaisemmille versioille

2.4.4-p13 2.4.4-p12:lle ja aikaisemmille versioille

Kaikki

2

Version 2.4.x julkaisutiedot

Adobe Commerce B2B

1.5.2 1.5.1:lle

1.4.2-p5 1.4.2-p4:lle ja aikaisemmille versioille

1.3.5-p10 1.3.5-p9:lle ja aikaisemmille versioille

1.3.4-p12 1.3.4-p11:lle ja aikaisemmille versioille

1.3.3-p13 1.3.3-p12:lle ja aikaisemmille versioille

Kaikki

2

Magento Open Source

2.4.8 2.4.8-beta2-versiolle

2.4.7-p5 2.4.7-p4:lle ja aikaisemmille versioille

2.4.6-p10 2.4.6-p9:lle ja aikaisemmille versioille

2.4.5-p12 2.4.5-p11:lle ja aikaisemmille versioille

2.4.4-p13 2.4.4-p12:lle ja aikaisemmille versioille

Kaikki

2

Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon.

Lisätietoja haavoittuvuuksista

Haavoittuvuusluokka	Haavoittuvuuden vaikutus	Vakavuus	Vaatiiko hyödyntäminen tunnistautumista?	Vaatiiko hyödyntäminen järjestelmänvalvojan oikeuksia?	CVSS-peruspisteet	CVSS-vektori	CVE-numerot	Huomautukset
Virheellinen valtuutus (CWE-285)	Käyttöoikeuksien laajennus	Tärkeä	Kyllä	Kyllä	4.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27188
Sivustojen välisten pyyntöjen väärennös (CSRF) (CWE-352)	Sovelluksen palvelunesto	Tärkeä	Kyllä	Kyllä	4.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	CVE-2025-27189	Vain B2B
Sopimaton käyttöoikeuksien valvonta (CWE-284)	Tietoturvaominaisuuden ohitus	Tärkeä	Kyllä	Kyllä	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27190
Sopimaton käyttöoikeuksien valvonta (CWE-284)	Tietoturvaominaisuuden ohitus	Tärkeä	Kyllä	Kyllä	5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N	CVE-2025-27191
Riittämättömästi suojatut tunnistetiedot (CWE-522)	Tietoturvaominaisuuden ohitus	Kohtalainen	Kyllä	Kyllä	2.7	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N	CVE-2025-27192

Huomautus:

Hyödyntäminen edellyttää tunnistautumista: Haavoittuvuus on (tai ei ole) hyödynnettävissä ilman tunnistetietoja.

Hyödyntäminen edellyttää järjestelmänvalvojan oikeuksia: Haavoittuvuutta voi (tai ei voi) hyödyntää vain hyökkääjä, jolla on järjestelmänvalvojan oikeudet.

Kiitokset

Adobe haluaa kiittää seuraavia tutkijoita näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:

sheikhrishad0 – CVE-2025-27190, CVE-2025-27191

Akash Hamal (akashhamal0x01) – CVE-2025-27188
Bobby Tabl35 (bobbytabl35_) – CVE-2025-27189
Javier Corral (corraldev) – CVE-2025-27192

HUOMAUTUS: Adobella on HackerOnessa yksityinen, vain kutsutuille tarkoitettu buginmetsästysohjelma. Jos olet kiinnostunut työskentelemään Adoben kanssa ulkopuolisena tietoturvatutkijana, täytä tämä lomake, niin saat ohjeet.

Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.

Adoben tietoturvatiedote

Yhteenveto

Versiot

Ratkaisu

Lisätietoja haavoittuvuuksista

Kiitokset

Pyydä apua nopeammin ja helpommin

Jaa tämä sivu

Kysy yhteisöltä

Ota yhteyttä